好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 luoyehome 于 2013-6-9 18:43 编辑
【文章标题】: QQ魔法卡片:魔法小分队 2.0.15(去弹窗)教程
【文章作者】: luoyehome
【作者邮箱】: 351984311@qq.com
【软件名称】: 魔法小分队 2.0.15
【软件大小】: 480KB
【下载地址】: http://www.176web.net/software/card.html
【破解版下载】
魔法小分队2.0.15.zip
(612.04 KB, 下载次数: 365)
(最新上传)
【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
【编写语言】: Borland Delphi 6.0 - 7.0
【操作平台】: winxp、win7
【作者声明】: 小试牛刀,把在网上下载的QQ魔法卡片专用的魔法小分队 2.0.15去掉烦人的弹窗
【详细过程】
玩QQ魔法卡片的童鞋有福啦,作为菜鸟的我来给你们送礼物来啦
首先感谢@Shark恒 的教程,让我踏入破解之门
QQ魔法卡片辅助:魔法小分队_2.0.15:自动抽卡炼卡等
在这里我把原版恼人的弹窗广告去掉了,这样就不用因为每次启动软件弹出网页广告而烦心了
原版软件下载地址: http://www.176web.net/software/card.html (打开软件,会弹出随机地址网页,很烦人吧?)
第一步:查壳
下载魔法小分队2.0.15 原版软件
用PEiD查看是否有壳:
可以看出,该软件加的壳为:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
第二步:脱壳
用OD打开魔法小分队2.0.15 原版软件,ESP定律查找OEP入口,操作如下
下硬件断点方法:选择数据窗口中紫色部分->右键 断点->硬件访问->Word
然后F9运行,软件运行到
005602E6 8D4424 80 lea eax,dword ptr ss:[esp-0x80] 这里按F8
005602EA 6A 00 push 0x0 F8
005602EC 39C4 cmp esp,eax F8
005602EE ^ 75 FA jnz X魔法小分.005602EA 这里选择下一行按F4
005602F0 83EC 80 sub esp,-0x80 按两次F4,再按F8到下一行
005602F3 ^ E9 180AFCFF jmp 魔法小分.00520D10 按F8跳转看看
经过跳转,我们来到这里
00520D10 55 push ebp
00520D11 8BEC mov ebp,esp
00520D13 83C4 F0 add esp,-0x10
00520D16 B8 98075200 mov eax,魔法小分.00520798
00520D1B E8 2C5EEEFF call 魔法小分.00406B4C
00520D20 A1 207B5200 mov eax,dword ptr ds:[0x527B20]
可以看出这就是OEP入口 ,OllyDump脱壳,注意这里修正为 120D10
第三步:修复
我们启动脱壳后的软件,发现
启动提示出错,所以我们还需要用ImportREC修复一下,OEP地址输入上面OllyDump里的地址 120D10 ,修复转储文件后,我们可以看到
这里的“魔法小分队2.0.15_脱壳_”就是我们修复后的文件。
第四步:去软件更新及弹窗广告
OD打开 魔法小分队2.0.15_脱壳_.exe
中文搜索引擎->搜索ASCII,查找带有网址的文本字符串
这里很可以,看出来是获取软件的版本等信息与电脑上的软件进行比较,
我们复制打开 http://www.179web.com/card/card1.0.xml 看看
可以看出这个xml保存着FileVer 、FileUrl 、FileMd5 、FileOther 、FileStatus 信息
我是采取下面的方法取消软件更新的
http://www.179web.com/card/card1.0.xml 这一行,按ENTER键
如上图所示,nop掉以后,软件就获取不到网站上软件版本等信息(这是侥幸破掉的,如有更好方法,请大牛指教,文本字符串里有软件更新成功和更新失败的提示,只是我还没找到方法)
去弹窗
还是在中文搜索引擎->智能搜索 要有耐心 找 http://的。
可以看到这里的 http://www.179web.com/card/notice_v1.html 很可疑
打开网页看看,显示“广告赞助邮箱:admin@176web.net”,也许你说,这没有什么啊
网页限制了右键功能、限制了选择功能 。不过我们依然可以查看网页源代码,在源代码里您会发现其中有猫腻
[HTML] 纯文本查看 复制代码
<div style="display:none"><script src="http://s13.cnzz.com/stat.php?id=2484297&web_id=2484297" language="JavaScript"></script></div> [color=#ff0000][b]<!-- 这里是统计弹出广告次数的地方--> [/b][/color]
<!--iframe src="http://www.179web.com/notice5/popjs.html" style="display:none;"></iframe--> [b]<!--老版本“魔法辅助器曾经用这代码调用广告” [/b] [b]--> [/b]
<iframe id="ID_PP" style="display:none"></iframe>
<script type="text/javascript">
(function(){
function getUrlParam(url, param)
{
var re = new RegExp("(\\\?|&)" + param + "=([^&]+)(&|$)", "i");
var m = url.match(re);
if (m)
return m[2];
else
return '';
}
function _doit(){
var url = window.location.href + '&nopop=1';
//window.location.href = url;
}
var v = parseInt(getUrlParam(window.location.href,'nopop'));
if( v != 1 ){
document.getElementById('ID_PP').src = 'http://www.179web.com/notice5/popjs.html'; [color=#ff0000][b]//改进后用javascript调用这个网页,里面包含很多调用广告的网页文件[/b][/color]
//setTimeout(_doit, 1000*60*10);
}
})()
</script>
好了,现在我们清楚了,我们在中文搜索引擎里 http://www.179web.com/card/notice_v1.html那一行按ENTER键
nop掉http://www.179web.com/card/notice_v1.html 所在的行
然后 右键-->复制到可执行文件-->所有修改 ,保存修改后的软件,
现在打开软件看看,哇塞,没有软件更新窗口,没有弹出网页
【版权声明】: 本文原创于luoyehome, 转载请注明作者并保持文章的完整, 谢谢!谢谢@Shark恒 的教程,让我跨入破解之门
2013年06月09日 12:04:35
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2013-6-9 12:14
|
发表于 2013-6-9 18:03
